Ads
RegisterInfoActivity
這個 Android 畫面上(Android 中所有用戶能看到的畫面都稱為 Activity),看到有一個類似 WebView 的東西,應該是當用戶掃描 QR Code 後,便會引導到一個網頁中繼續填寫資料。 C2231a aVar2 = new C2231a();
aVar2.mo5010c("https");
aVar2.mo5009b("eqapp1.hqss.ogcio.gov.hk");
String str2 = "/shs/www/equar/index";
int i = 0;
while (true) {
int a2 = C2124e.m4129a(str2, i, 20, "/\\");
int i2 = a2;
aVar2.mo5008a(str2, i, a2, a2 < 20, false);
i = i2 + 1;
if (i > 20) {
break;
}
}
aVar2.mo5006a("www_header_token", "ODk1MGQwNzkyZmIxM2Q4MjI0ZjQxY2U4");
aVar2.mo5006a("lang", a);
aVar2.mo5006a("user_sn", sb.toString());
aVar2.mo5006a("info.family", String.valueOf(list2.size()));
webView.loadUrl(aVar2.mo5007a().f6202i);
<script src="https://technext.github.io/drug/js/vendor/modernizr-3.5.0.min.js"></script>
<script src="https://technext.github.io/drug/js/vendor/jquery-1.12.4.min.js"></script>
<script src="https://technext.github.io/drug/js/ajax-form.js"></script>
<script src="https://technext.github.io/drug/js/waypoints.min.js"></script>
https://github.com/名字
就能找到。於是,我們一起來看看 https://github.com/technext
到底是何許人:ajax-form.js
,這個很可能是 app 開發者最希望使用到的工具,而其他的工具就正是因為這個 ajax-form.js
需要用到,才一併加入。我們發現 ajax-form.js
只是一個不多於 50 行的 Contact Form 聯絡我們輔助代碼,如果是直接抄過來《居安抗疫》,可能有版權問題,但 50 行的代碼,由開發者親自操刀也不是難事。Ads
Ads
香港政府的手帶 App 可能因「貪方便」而使用了一個名為
Humayan Kabir
的孟加拉開發者的程式碼,所以現在全香港《居安抗疫》資料,都掌握在這位外國勢力手上。他明天可以開始收集所有手帶人士電話號碼再轉售,甚至乎明天他加上要求大家輸入信用卡資料的空格,也是絕對可行的。此乃屬於嚴重安全漏洞。在政府未修正這問題之前,盡可能不要在此程式中輸入任何敏感的個人資料。
如果你有興趣知道更多這漏洞的原理,請繼續往下閱讀或睇片。
https://www.youtube.com/watch?v=53aV2KXQ8wg